Jeder von uns hat mittlerweile dutzende Benutzeraccounts und Passwörter. Wenn ich z.B. meine einzelnen Accounts bei eBay, Amazon, Facebook etc. zusammenfasse komme ich locker auf 25 bis 30 individuelle Benutzernamen / Passwort Kombinationen. Wie die Mehrheit aller Menschen versuche ich alle diese Passwörter möglichst synchron zu halten. Ich habe für mich vier verschiedene Passwörter definiert (für Websites wo man sich registieren muß, die aber keine Relevanz für mich haben, für Foren und Communities die ich regelmäßig frequentiere, für meine persönlichen Datenspeicher inkl. Mail und für Websites wo es um Geld geht). Aber es ist für mich nach wie vor unbefriedigend mit Passwörtern zu hantieren – so geht es wahrscheinlich der Mehrheit.
WebLookOn von der gleichnamigen Firma aus Wien (!) verspricht hier Abhilfe. Es handelt sich um ein für den Anwender wirklich simples System, man muß sich vom Prinzip her lediglich drei frei wählbare Symbole oder Farben merken und kann sich damit absolut sicher anmelden. Die Gründer dieser Firma haben für dieses Jahr ein sehr engagiertes Programm. Sollte die Suche nach der einen oder anderen großen Referenzinstallation erfolgreich sein könnte sich dieses System durchaus als übergreifender Standard zur absolut sicheren Identifikation im Web entwickeln.
Auf der Homepage von WebLookOn kann man sich kostenlos ein Test-ID anlegen und dabei das Prinzip dieses Sytems lernen – es funktioniert wirklich genial einfach. Ich würde mir wirklich wünschen, wenn meine sicherheitskritischen Webanwendungen über ein einheitliches und sicheres Logon-System abgesichert wären.
Das erscheint mir keine wirklich gute Idee zu sein. Es ist doch sehr gefährlich, alle Logins über einen zentralen Server zu machen, also alles mit dem gleichen Geheimnis.Noch viel schlimmer: Weblookon hat die Schwächen seines großen Bruders Seclookon geerbt, d.h. insbesondere, dass dieser eine Server das eine Geheimnis auch noch im Klartext verwenden muss. Das System ist aus Sicherheitssicht betrachtet eine Katastrophe. Als wären die Sicherheitsmängel von Seclookon nicht schon schlimm genug, kann der Schlüssel bei Weblookon auch noch durch Zuschauen ermittelt werden, was bei Seclookon zumindest erschwert war.Schade um das Geld, das offenbar in das Verfahren investiert wurde.That’s all Folks!NStJ
Kein Mensch ausser NSt.Jones redet darüber, daß weblookon alle Logins über einen Server macht. Das wäre auch gelinde gesagt recht dumm. Weblookon macht keine Logins, sondern Authentifiziert. Was ein Provider danach mit dem für weblookon Unbekannten macht ist nicht mehr Sache von weblookon. Ein Login tritt nämlich erst dann ein, wenn jemand die Seite eines Providers betritt. Und genau da ist weblookon nicht dabei.Weblookon hat mit Seclookon relativ wenig zu tun, ausser dass es Teile der Basisapplikation nutzt. Weblookon richtet sich einzig und alleine gegen Passwortlösungen, die – wie man ja ständig lesen und hören kann – heutzutage recht viel Schaden anrichten können; bzw. deren Missbrauch. Weblookon wendet sich in keinster Weise an/noch gegen die Rige der ITSicherheitslösungen, sondern wenn in diesem Zusammenhang erwähnt, als Additivum für deren Lösungen. Denn auch Token, eCards, etc. Lösungen nutzen nur allzuoft Passworte um überhaupt damit anzufangen ihren Job zu erledigen….Also zusammenfassend sei an die Adresse von NSTJ gerichtet, zu beweisen, daß ein Passwort sicherer sei als weblookon….
> Kein Mensch ausser NSt.Jones redet darüber, daß weblookon alle Logins über einen Server macht.Weblookon selbst beschreibt auf seiner Seite http://weblookon.com/en/site_integration detailliert, dass in jedem Login-Prozess die Bilder vom Weblookon-Server geliefert werden, der auch die Antworten kontrolliert. Ergo werden alle Logins hierüber gemacht.> Das wäre auch gelinde gesagt recht dumm.In der Tat.> Weblookon macht keine Logins, sondern Authentifiziert.Was der wesentlichste Teil eines jeden Logins ist.> Was ein Provider danach mit dem für weblookon Unbekannten macht ist nicht mehr Sache von weblookon.Was ändert das daran, dass sich der “für Weblookon Unbekannte” auf die Sicherheit des Weblookon-Servers verlassen muss?Dass dies so getrennt abläuft, ist dabei ein weiterer Sargnagel für das sichere Design, da deswegen niemand sicher weiß, wo er sich gerade eigentlich anmeldet.Der SSO-Gedanke, den Weblookon mindestens implizit verfolgt, also eine Authentifizierung für alles, die dann der Weblookon-Server erledigt, ist als Design untragbar. Einfacher Angriff: Ich setzte ein Forum auf und mache die Authentifizierung mit Weblookon, locke Besucher auf die Seite und verwende deren Authentifizierungslauf dann via MitM, um mich als diese bei einer anderen Seite einzuwählen. Gruselig! > Ein Login tritt nämlich erst dann ein, wenn jemand die Seite eines Providers betritt. Und genau da ist weblookon nicht dabei.Das ist so nicht richtig. Das Login umfasst die Authorisierung und damit ist Weblookon Teil davon. Der Streit um Begriffe ist hier aber völlig überflüssig, denn er tut nichts zur Sache. Jeder, der Weblookon überlistet hat, kann andere Seiten unberechtigt nutzen. Es sei denn, der Zielserver verfügt über zusätzliche Authentifizierungsfaktoren, wobei sich dann die Frage stellt, warum man sich den Aufwand von Weblookon antun soll.Deshalb lässt sich die Gegenrede zu alma mama hier in zwei Bereiche unterteilen:Zum einen, ob tatsächlich alle Logins/Authentifizierungen über ein System gemacht werden sollten. Hier lautet die Antwort klar Nein, bzw. wenn überhaupt, gibt es fortgeschrittenere Ticketing-Systeme und vertrauenswürdigere Partner, um dies besser darstellen.Die Aussagen von der Weblookon-Seite sind in diesem Zusammenhang unendlich naiv. Dort wird die zentrale Speicherung des Geheimnisses bei Weblookon als Sicherheitsvorteil angepriesen, da nichts aufgedeckt wird, wenn einer der Anbieter-Server geknackt wird. Tatsächlich wird aber alles aufgedeckt, wenn der Weblookon-Server geknackt wird. Und damit meine ich wirklich alles, da das Geheimnis selbst wegen des schlechten Designs der Lösung im Klartext vorliegen muss.Zum zweiten – vom zentralen Ansatz völlig unabhängig -, welches der wissensbasierten Systeme Weblookon vs. Passwort besser ist. Hier ist völlig unklar, warum Weblookon dem Passwort überlegen sein sollte, dazu unten mehr.> Weblookon hat mit Seclookon relativ wenig zu tun, ausser dass es Teile der Basisapplikation nutzt.Das ist doch schon eine ganze Menge und mit Sicherheit nicht relativ wenig. Das Prinzip ist das gleiche: Aus einem Symbolblock wird eine Eigenschaft abgeleitet, die in einem Zahlenblock gesucht wird. Vor allem bleiben all die Mängel von Seclookon erhalten, die zur breiten Ablehnung des Verfahrens führen.> Weblookon richtet sich einzig und alleine gegen Passwortlösungen, die – wie man ja ständig lesen und hören kann – heutzutage recht viel Schaden anrichten können; bzw. deren Missbrauch.Das ist ja eine nette Idee. Das Problem: Weblookon tut rein gar nichts, um es nachweisbar besser zu machen.> Denn auch Token, eCards, etc. Lösungen nutzen nur allzuoft Passworte um überhaupt damit anzufangen ihren Job zu erledigen….Ja, Sie verbinden zwei Faktoren, in den genannten Fällen Wissen und Besitz. Wenn aber gefragt wird, wie der Faktor Wissen umgesetzt wird, sind wir schon wieder bei Passwort vs. Weblookon, Token usw. haben damit nichts zu tun. Der zweite Faktor wird doch gerade deshalb benutzt, weil einer alleine nicht sicher genug ist.> Also zusammenfassend sei an die Adresse von NSTJ gerichtet, zu beweisen, daß ein Passwort sicherer sei als weblookon….Da muss ich doch ein wenig schmunzeln. Warum sollte ich beweisen, dass der Champion besser ist als irgendein Herausforderer? Es ist doch wohl Sache des Herausforderers, den umgekehrten Beweis zu erbringen. Genaugenommen hätte ich gerne gleich drei Fragen beantwortet:1.) Ist Weblookon ähnlich sicher wie ein Passwort?Passwörter sind relativ gut erforscht. Weblookon ist anders, aber dadurch nicht automatisch sicherer, z.B. kann ich im Gegensatz zu Passwörtern bereits aus Teilbeobachtungen Rückschlüsse auf den Schlüssel ziehen. Dazu kommt die schon oft erwähnte Speicherung des Geheimnisses im Klartext. Weiter muss man bei WeblookOn gerade einmal vier Mal hintereinander zwischen sechs Zahlen entscheiden, es existieren also nur sechs hoch vier = lächerliche 1.296 verschiedene Möglichkeiten für einen Login.Es gibt also gute Gründe anzunehmen, dass Weblookon systematisch unsicher ist. Hier würde ich gerne mal eine unabhängige Untersuchung durch entsprechende Experten sehen.2.) Wie werden die evidenten Designmängel von Weblookon ausgeschaltet?Weblookon als ausgelagerte Authentifizierung ist mit der Denial-of-Service-Anfälligkeit aufgrund der geheimnisabhängigen Bildererstellung doch recht gewagt. Und was machen eigentlich blinde Nutzer, wenn das Verfahren – wie auf der Seite angekündigt – das Passwort wohl irgendwann ersetzen wird?3.) Zuletzt wäre dann zu zeigen, wie Weblookon die beim Passwort kritisierten Mängel denn abstellen will. Auf der Website wird groß herausgestellt, dass Identity-Theft der Vergangenheit angehört und Phishing nicht möglich sei. Das erinnert mich wiederum an Seclookon, wo auch behauptet wurde, das System sei sicher gegen Phishing und Man-in-the-Middle-Attacken, obwohl mit Beispielen leicht gezeigt werden konnte, dass diese Angriffe genauso möglich waren wie bei Passwörtern.Die Seite macht viele Versprechungen, ist aber inhaltlich absolut schwach. Statements wie “The secret never needs to be changed, since it is fundamentally completely secure.” sind ebenso nichts-sagend wie lachhaft.That’s all Folks!NStJ
Naja, dann wäre es ja interessant und sinnvoll, wenn die Entwickler von WebLookOn den Weg der Zertifizierung beschreiten.Nachdem es sich ja um personenbezogene Daten handelt, die hier verwaltet werden, wäre eine Zerfitikation nach EuroPriSe (https://www.european-privacy-seal.eu/) vielleicht eine Möglichkeit um zu beweisen, dass WebLookOn sicherer als die klassische Username / Password Kombination.Gerne kann ich den Kontakt mit Thilo Weichert, dem DSB des ULD Schleswig-Holstein herstellen, er ist federführend an der Entwicklung von EuroPriSe beteiligt. Ich persönlich gebe einer SICHEREN Implementation in Form von WebLookOn sehr gute Chancen auf rasante Verbreitung, zig Passwörter “in Schuss” halten ist eigentlich wirklich mehr zeitgemäß. Von aussen betrachtet (ich kenne das System nicht im Detail) erscheint mir WebLookOn jedenfalls interessant und verfolgenswert.
Nigle St. Jones meinte:> Einfacher Angriff: Ich setzte ein Forum auf und mache die Authentifizierung mit Weblookon, locke Besucher auf die Seite und verwende deren Authentifizierungslauf dann via MitM, um mich als diese bei einer anderen Seite einzuwählen.Und bin dennoch sicherer als alles andere was Passwort ähnlich ist.> bzw. wenn überhaupt, gibt es fortgeschrittenere Ticketing-Systeme und vertrauenswürdigere Partner, um dies besser darstellen.Das ist kompiziert und unpraktisch. Bist wohl neidisch?Ich habe mir gerade einen Key geholt. Ist super! Ich bin froh endlich einen Key zu haben. Wollte schon einen für SecLookOn.> Hier ist völlig unklar, warum Weblookon dem Passwort überlegen sein sollteZum Beispiel ist die Eingabe immer anders! Nigel St. Jones muss meine Key-ID UND meine Bilder UND meine Eingaben UND die richtige Zuordnung haben vorher weiß er gar nichts.Ich bin begeistert und meine Freundin auch.> Da muss ich doch ein wenig schmunzeln. Warum sollte ich beweisen, dass der Champion besser ist als irgendein Herausforderer?Natürlich, groß reden und nichts dahinter.> Ist Weblookon ähnlich sicher wie ein Passwort?Ich habe beim Anlegen des Keys136527eingegeben. Das jedesmal anders. Nu such mal und hack es!> z.B. kann ich im Gegensatz zu Passwörtern bereits aus Teilbeobachtungen Rückschlüsse auf den Schlüssel ziehen. Unsinn! Was ist das für eine Ansage. Wenn ich ein Passwort abfange habe ich es.> Weiter muss man bei WeblookOn gerade einmal vier Mal hintereinander zwischen sechs Zahlen entscheiden, es existieren also nur sechs hoch vier = lächerliche 1.296 verschiedene Möglichkeiten für einen Login.Ich glaube das kann man verlängern.> Hier würde ich gerne mal eine unabhängige Untersuchung durch entsprechende Experten sehen.Zuerst alles als unsicher verschreien und dann nach einem Experten rufen. Toll!> Und was machen eigentlich blinde Nutzer, wenn das Verfahren – wie auf der Seite angekündigt – das Passwort wohl irgendwann ersetzen wird?Verdammt! Was machen wir jetzt bloß mit YouTube und den ganzen anderen Graphikprogrammen?> Das erinnert mich wiederum an Seclookon, wo auch behauptet wurde, das System sei sicher gegen Phishing und Man-in-the-Middle-Attacken, obwohl mit Beispielen leicht gezeigt werden konnte, dass diese Angriffe genauso möglich waren wie bei Passwörtern.Das ist wieder so eine Ansage! Wo? Bis zu einem Beweis ist dies nicht mehr als eine Behauptung. Wie so vieles von Nigel St. Jones.> That’s all Folks!NStJTschau CG
Alias Nigel St. Jones, oder auch Joe Orakel, spricht großteils von Dingen, für die Weblookon keinen Anspruch erhebt. Er hat halt nicht verstanden worum es wirklich geht. Er kennt auch leider nicht die Gesetzte des Marktes, nämlich dass Nachfrage das Angebot bestimmt. Lassen wir doch den Markt sprechen und sehen wir was herauskommt.
NStJ: … da das Geheimnis selbst wegen des schlechten Designs der Lösung im Klartext vorliegen muss.Das ist falsch! NStJ: Aus einem Symbolblock wird eine Eigenschaft abgeleitet, die in einem Zahlenblock gesucht wird. Wieder falsch!NStJ: Genaugenommen hätte ich gerne gleich drei Fragen beantwortet:Auch wenn ich nicht für WebLookOn sprechen kann, so stellt sich für mich die Frage wieso NStJ seine Fragen nicht an die Entwickler stellt.NStJ: … obwohl mit Beispielen leicht gezeigt werden konnte, dass diese Angriffe genauso möglich waren wie bei Passwörtern.Es gibt Überlegungen von Personen die das System nicht kennen und ihre Überlegungen ohne Beweis der Richtigkeit präsentieren. Bis heute wäre keiner geglückt.
> Naja, dann wäre es ja interessant und sinnvoll, wenn die Entwickler von WebLookOn den Weg der Zertifizierung beschreiten.Grundsätzlich ist eine Zertifizierung keine schlechte Idee, allerdings ist mir nicht klar, weshalb es gerade ein Datenschutzzertifikat sein soll (noch dazu ein – Verzeihung – aktuell so gut wie bedeutungsloses). Der Hauptteil bei Datenschutzzertifikaten liegt in einem Bereich, in dem Weblookon gar nichts tun will. Europrise, welches die Sicherheit nur als Randaspekt behandelt, hätte auch Schwierigkeiten, da es z.B. von Passwörtern ausgeht und die gehashte Geheimnisablage fordert, die Weblookon nicht bieten kann. Wenn überhaupt, würde ein IT- bzw. Informationssicherheitszertifikat in Frage kommen.> Verdammt! Was machen wir jetzt bloß mit YouTube und den ganzen anderen Graphikprogrammen?Was soll damit sein? Werden diese durch Blinde genutzt? Nein. Haben diese ein grafisches Login? Nein. Was soll die Frage?> Lassen wir doch den Markt sprechen und sehen wir was herauskommt.Darf ich Sicherheitslücken in Windows nicht mehr anprangern, weil das Betriebssystem so erfolgreich ist? Sicherheit sieht man einem Produkt nun einmal leider nicht an, von daher ist der Markt wenig geeignet, uns bei der Diskussion zu helfen.Für den Rest der gemachten Aussagen sollten wir noch einmal klar machen, dass wir von zwei ganz unterschiedlichen Bereichen reden:1.) Weblookon als zentrale Webauthentifizierung2.) Weblookon als PasswortersatzZu 1.)Ich denke, die Idee der zentralen Authentifizierung ist bei Weblookon aus der Not geboren, da man sich unterschiedliche Grafische Keys für verschiedene Seiten kaum wird merken können (davon abgesehen, dass Weblookon so nach Nutzung kassieren kann).> Das ist kompiziert und unpraktisch. Bist wohl neidisch?Neidisch worauf? Einen Single Point of Failure für das gesammte Internet, nach dem wir uns so lange gesehnt haben? Was ist an den Systemen kompliziert und unpraktisch? Warum hat OpenID über 400 Mio. Nutzer? Finden die das alle umständlich und kompliziert und warten auf Weblookon? > Ich habe mir gerade einen Key geholt. Ist super! Ich bin froh endlich einen Key zu haben. Wollte schon einen für SecLookOn.Aha. Na dann Glückwunsch. Was kannst Du jetzt damit anfangen? Was hättest Du mit einem Seclookon-Key anfangen können?zu 2.)> Und bin dennoch sicherer als alles andere was Passwort ähnlich ist.Nein, eigentlich nicht.Das selbstbewusste Auftreten des Anbieters beruht auf der Annahme/Behauptung, man könne im Gegensatz zum Passwort aus der Beobachtung von Eingaben nicht den Schlüssel ermitteln. Diese Annahme hält einer Überprüfung nicht stand. Es lässt sich an Beispielen vielmehr zeigen, dass– bei EINEM beobachteten Login schon wesentliche Informationen über den Schlüssel gewonnen werden, die aber noch zu viele Schlüssel möglich sein lassen, als dass man damit etwas anfangen könnte,– bei ZWEI beobachteten Logins bereits so viele Kombinationen ausgeschlossen werden können, dass die noch möglichen Schlüssel in der Praxis ausprobiert werden können (< 10),– bei DREI beobachteten Logins der vollständige Schlüssel in der Regel bestimmt werden kann.Ich habe dies gestern mit drei Beispielschlüsseln probiert und konnte alle aufgrund von drei aufgezeichneten Logins bestimmen, d.h. 12 Aufgaben und die dazugehörigen Lösungsziffern reichten. Einen Schlüssel davon habe ich extra von einer Freundin erstellen lassen, um bei der Auswertung nicht von der Kenntnis des Keys beeinflusst zu werden. Wie funktionierte das?Wir kennen aus der Lösung für jedes Bild die fünf möglichen Lösungseigenschaften (Farbe, Symbol oben links, Symbol oben rechts, Symbol unten links, Symbol unten rechts). Wir wissen ferner, dass zwei Bilder für den Schlüssel Verwendung finden. Bei den untersuchten Schlüsseln wurden insgesamt neun verschiedene Bilder gezeigt, d.h. es sind nach kleinem Gauss (9-1)((9-1)+1)/2 = 36 verschiedene Berücksichtigungen im Schlüssel denkbar.Nun probieren wir die 36 Kombinationen der Bilder durch und prüfen für jede Kombination, ob folgende Regeln zutreffen:– Für alle Aufgaben, in denen das erste gewählte Bild vorkommt und das zweite auch, muss mindestens eine der fünf Eigenschaften in allen Fällen gleich sein.– Für alle Aufgaben, in denen das erste gewählte Bild vorkommt, das zweite aber nicht, muss mindestens eine der fünf Eigenschaften in allen Fällen gleich sein.– Für alle Aufgaben, in denen das erste gewählte Bild nicht vorkommt, das zweite aber schon, muss mindestens eine der fünf Eigenschaften in allen Fällen gleich sein.– Für alle Aufgaben, in denen weder das erste gewählte Bild noch das zweite vorkommt, muss mindestens eine der fünf Eigenschaften in allen Fällen gleich sein.Sind diese Regeln erfüllt, kommen Bilder und in den Regeln ermittelte Eigenschaften als Schlüssel in Frage. Ist die Zahl der zu untersuchenden Aufgaben groß genug (in den drei getesteten Beispielen reichten 8 bis 12 Aufgaben, also 2 oder 3 Logins, in Worten zwei oder drei), so bleibt nur noch ein Schlüssel übrig. Schon nach wenigen Aufgaben ist die Zahl der Schlüssel so gering, dass in der Praxis einfach das Login probiert werden kann.Diese Prüfung ist mit einer Tabellenkalkulation ganz simpel durchzuführen. Einfach das Vorhandensein der Bilder vermerken (eine Zeile pro Aufgabe), daneben dann die fünf Eigenschaften. Die Standardautofilter von Excel oder OpenOffice.org zeigen dann, was für den Schlüssel in Frage kommt. Der Prüfaufwand hält sich in Grenzen, weil meist schon nach der ersten der vier Regeln Schluss ist.Der Vollständigkeit sei angemerkt, dass ich die notwendige Zahl von Aufgaben noch nicht mathematisch formalisiert habe. Natürlich kann es in Abhängigkeit von den gestellten Aufgaben sein, dass auch vier oder fünf Logins benötigt werden, weil eine Eigenschaft durch Zufall eben nicht eindeutig angezeigt wird. Tatsächlich hatte ich in einem Fall aber bereits nach zwei Logins nur noch zwei mögliche Schlüssel, die sich lediglich in der Eigenschaft bei keinem Bild unterschieden, also schnell getestet gewesen wären.Ich halte deshalb fest, dass Weblookon nicht nur vermutlich, sondern nachweisbar nicht sicherer ist als die Passwortnutzung, denn– wenn ein Angreifer weder den Client, noch irgendwo die Verbindung geknackt hat, so kommt er auch nicht an ein Passwort,– wenn er sich als MitM oder ähnliches in die Verbindung einhacken kann, nach Malware-Befall einen Client verwanzt hat oder einige wenige Einwahlen phisht, so muss er nur zwei oder drei Logins abwarten und kann den Schlüssel ermitteln,– wenn wie im aktuellen Verfahren nur 1.296 Möglichkeiten für die Zahlenkombination zur Verfügung stehen, so hat ein Angreifer nach durchschnittlich ca. 650 Versuchen eine Einwahl geschafft (Weblookon riegelt ja nicht ab, weil es ja so sicher (sic!) ist), d.h. der Angreifer kann sich ganz ohne Beteiligung des Nutzers automatisiert gültige Einwahlen verschaffen und diese dann untersuchen. Das wäre bei einem Passwort nicht möglich.Ich weiß, ich bin gemein, aber ich muss es nochmal zitieren, denn Hochmut kommt vor dem Fall: “The secret never needs to be changed, since it is fundamentally completely secure.” ROFLCase closed.Zu Seclookon möchte ich mich hier nicht weiter äußern. Ich ziehe meine Informationen zum Teil aus der Analyse eines Studienkollegen. Ihm und mindestens einem weiteren Security Experten sind von einem wohl mit Seclookon in Verbindung stehendem Nutzer, der auch hier geschrieben hat, massive rechtliche Konsequenzen angedroht worden, wenn sie sich weiter zum Verfahren äußern. Zwar ist alles kritisierte objektiv wahr und nachvollziehbar, dennoch komme ich natürlich der Bitte nach, kein Öl in ein Feuer zu gießen, das unter Umständen eine Gerichtsverhandlung anheizen wird. Was die Notwendigkeit einer solchen Drohung über das zugrunde liegende Verfahren aussagt, soll jeder für sich überlegen.That’s all Folks!NStJ
Oh – jetzt werden Kritiker schon mit gerichtlichen Klagsandrohungen eingeschüchtert und mundtot gemacht.Muss ja ein echt tolles Produkt sein, welches jedoch einen winzigen Haken haben dürfte:Keiner will es einsetzen.Außer Magna (wohl ein zufälliger Glückstreffer?) und die offensichtlich mit Seclookon irgendwie verbundenen Weblookon (man beachte die Namensgleichheit) lässt sich niemand finden der diese extrem umständliche und langwierige Loginlösung anbietet.Wenn man sich ansieht, wie Weblookon krampfhaft versucht durch Viral Marketing eine “well-known Brand” zu kreieren, wie von einem Produkt das offensichtlich keiner will, andauernd irgendwelche Pressetexte veröffentlicht werden, ist es offensichtlich, dass Sec – bzw Weblookon ein ziemliche Totgeburt zu sein scheint.Ich bin der gleichen Meinung wie Nigel, Schade um das Geld…
Mhmm, da bin ich wohl in ein Wespennest getreten. Das ist der erste Thread in meinem Blog, der derartig emotionelle Reaktionen auslgelöst hat 🙂Interessant finde ich auch, dass sich eine Reihe von Benutzer offensichtlich neu bei Google registriert haben – nur um hier pro und kontra zu können, finde ich faszinierend.
Hallo,ja, das ist bei Sec-/WebLookOn interessant: Der Entwickler oder Hersteller (vermutlich) kommentiert mittlerweile bei jedem Bericht zu Authentifizierung oder Sicherheit im Netz, der eine Kommentarfunktion bietet und nicht bei drei auf dem Baum ist, dass es mit Weblookon eine sichere Lösung gäbe.Kurz danach kommt dann oft jemand, der das Verfahren lobt oder verteidigt, seltsamerweise sind das Personen, die nie davor und nie danach wieder irgendetwas auf der jeweiligen Seite tun.Ich selbst gebe übrigens unumwunden zu, dass ich unter verschiedenen Google-Konten blogge und kommentiere. Das liegt schlicht daran, dass ich mit Datenschutz- und Informationssicherheits-Background der Datenkrake Google äußerst zwiegespalten gegenüber stehe und mich deswegen virtuell diversifiziere.Ich gestehe das gleiche jedem anderen zu und möchte deshalb nichts unterstellen. Ich kann aber absolut nachvollziehen, wie Hermine S. zu ihrem Eindruck vom Viral Marketing kommt.Meine Einstellung hat sicher auch Auswirkungen auf die Bewertung einer ZENTRALEN Authentifizierung, die ich zum Schutz der informationellen Selbstbestimmung und des Rechts auf Privatheit mehr als kritisch sehe. Ich bin da aber vielleicht überempfindlich, so reagiere ich auch allergisch auf Kundenkarten.Das mag nicht die letzte Weisheit sein. Ich fordere deshalb jeden auf, sich seine eigene Meinung zu bilden, ich kann absolut unrecht haben.That’s all Folks!NStJ